Aveți posibilitatea să configurați o integrare single sign-on (SSO) între Control Hub și o implementare care utilizează SimpleSAML ca furnizor de identitate (IdP).
Sign-on unic și Control Hub
Sign-on unic (SSO) este o sesiune sau un proces de autentificare a utilizatorului care permite unui utilizator să furnizeze acreditări pentru a accesa una sau mai multe aplicații. Procesul autentifică utilizatorii pentru toate aplicațiile cărora li se acordă drepturi. Elimină solicitările suplimentare atunci când utilizatorii comută aplicațiile în timpul unei anumite sesiuni.
Protocolul de federalizare a limbajului de aserțiune de securitate (SAML 2.0) este utilizat pentru a furniza autentificarea SSO între cloud-ul Webex și furnizorul de identitate (IdP).
Profiluri
Webex App acceptă numai profilul SSO al browserului web. În profilul SSO al browserului web, Webex App acceptă următoarele legături:
SP a inițiat legarea POST-> POST
SP a inițiat redirect-> post obligatoriu
Format NameID
Protocolul SAML 2.0 acceptă mai multe formate NameID pentru comunicarea despre un anumit utilizator. Webex App acceptă următoarele formate NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
În metadatele pe care le încărcați din IdP, prima intrare este configurată pentru utilizare în Webex.
SingleLogout
Webex App acceptă profilul de deconectare unică. În Webex App, un utilizator se poate deconecta de la aplicație, care utilizează protocolul de deconectare unică SAML pentru a încheia sesiunea și a confirma că deconectați-vă cu IdP-ul dvs. Asigurați-vă că IdP-ul este configurat pentru SingleLogout.
Integrați Control Hub cu SimpleSAML
Ghidurile de configurare arată un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru urna nameid-format:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate, cum ar fi urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress will work for SSO integration but are outside the scope of our documentation. |
Configurați această integrare pentru utilizatorii din organizația webex (inclusiv WebexApp, Webex Meetingsși alte servicii administrate în Control Hub). Dacă site-ul Webex este integrat în Control Hub, site-ul Webex moștenește gestionarea utilizatorilor. Dacă nu puteți accesa Webex Meetings în acest fel și nu este gestionat în Control Hub , trebuie să faceți o integrare separată pentru a activa SSO pentru Webex Meetings. (A se vedea Configurați Sign-On unic pentru Webex pentru mai multe informații despre integrarea SSO în Administrarea site-ului.)
Înainte de a începe
Pentru SSO și ControlHub, IPP-urile trebuie să fie conforme cu specificațiile SAML 2.0. În plus, IPP-urile trebuie configurate în felul următor:
Descărcați metadatele Webex în sistemul local
1 | Din vizualizarea client în https://admin.webex.com, accesați Gestionare defilați la Autentificare , apoi comutați pe setarea Sign-on unic pentru a porni expertul de configurare. |
||
2 | Alegeți tipul de certificat pentru organizația dvs.:
|
||
3 | Descărcați fișierul de metadate. Numele fișierului de metadate Webex este idb-meta-<org-ID>-SP.xml. |
Conversia metadatelor
1 | Deschideți fișierul de metadate Webex exportat într-un editor de text. |
2 | În browser, deschideți pagina de pornire simpleSAML și conectați-vă cu acreditările de administrator. Locația paginii de pornire variază, dar este de obicei similară cu acest exemplu de adresă URL: https://yourcompany.yourdomain.com/simplesaml. |
3 | Din pagina principală, faceți clic pe Federație. |
4 | Sub instrumente, efectuați o conversie XML în Simple SAML XML. |
5 | Copiați metadatele Webex din editorul de text, apoi lipiți-le în câmpul de conversie XML. |
6 | Faceți clic pe Analiză. Apar metadatele convertite. Veți adăuga aceste date în fișierul text SP la distanță. |
Crearea fișierului de metadate al furnizorului de servicii la distanță
Acești pași sunt destinați ca exemplu. Directorul de metadate și gazda IdP diferă în funcție de configurarea clientului.
Înainte de a începe
Fiți conștienți de atributele pe care trebuie să le treceți și să le aplicați în consecință prin editarea fișierului de metadate saml20-idp-hosted.php. (De exemplu, uid, mail, e-mail, și așa mai departe). Vedeți exemplele de metadate:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),
1 | În configurația SimpleSAML pe gazdă, accesați directorul de metadate. |
2 | Folosind un editor de text, lipiți datele analizate la sfârșitul saml20-sp-remote.php și salvați fișierul. |
3 | Reveniți la prima pagină SimpleSAML, faceți clic pe Federalizare, apoi afișați metadate pentru furnizorul de identitate. |
4 | Lipiți datele într-un fișier text nou. |
5 | Salvați fișierul actualizat pe desktop cu un nume semnificativ, cum ar fi simplesaml-metadata.xml. |
Importul metadatelor IdP și activarea conectării unice după un test
După ce exportați metadatele Webex, configurați IdP-ul și descărcați metadatele IdP în sistemul local, sunteți gata să le importați în organizația Webex din Control Hub .
Înainte de a începe
Nu testați integrarea SSO din interfața furnizorului de identitate (IdP). Acceptăm doar fluxurile inițiate de furnizorul de servicii (inițiate de SP), deci trebuie să utilizați testul Control Hub SSO pentru această integrare.
1 | Alegeți una:
|
||||
2 | Pe pagina Import metadate IdP, fie trageți și fixați fișierul de metadate IdP în pagină, fie utilizați opțiunea browserului de fișiere pentru a localiza și încărca fișierul cu metadate. Faceți clic pe Următorul. Ar trebui să utilizați opțiunea Mai sigur, dacă puteți. Acest lucru este posibil numai dacă IdP-ul a utilizat un CA public pentru a-și semna metadatele. În toate celelalte cazuri, trebuie să utilizați opțiunea Mai puțin sigură. Aceasta include dacă metadatele nu sunt semnate, auto-semnate sau semnate de un CA privat. |
||||
3 | Selectați Testați configurarea SSOși, atunci când se deschide o nouă filă de browser, autentificați-vă cu IdP-ul conectându-vă.
|
||||
4 | Reveniți la fila browserului Control Hub.
|
Ce trebuie să faceți în continuare
Puteți urma procedura din Suprimarea e-mailurilor automate pentru a dezactiva e-mailurile trimise noilor utilizatori Webex App din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.